Usar Servicios de Filtrado DNS
Descripción
Usar servicios de filtrado DNS en todos los activos empresariales para bloquear el acceso a dominios maliciosos conocidos.
Lista de Verificación de Implementación
Herramientas Recomendadas
Gateway web seguro nativo en la nube con inspección en línea, filtrado de URL, sandboxing y DLP para tráfico web
Zscaler · Suscripción por usuario
Plataforma de firewall de próxima generación con políticas conscientes de aplicaciones, prevención de amenazas, filtrado de URL y SD-WAN
Palo Alto Networks · Dispositivo + suscripción
Firewall empresarial y estructura de seguridad con NGFW, SD-WAN, IPS y servicios de seguridad integrados
Fortinet · Dispositivo + suscripción
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Devolución de Llamada de Malware a Dominios Conocidos de Comando y Control
ConfidencialidadEl malware en activos empresariales se comunica con dominios maliciosos conocidos para instrucciones de comando y control, descargas de carga útil y exfiltración de datos, y sin filtrado DNS estas conexiones tienen éxito sin impedimento.
Acceso a Dominio de Phishing que Lleva al Robo de Credenciales
ConfidencialidadLos usuarios hacen clic en enlaces de phishing que resuelven a dominios maliciosos conocidos que imitan páginas de inicio de sesión legítimas, y sin bloqueo a nivel de DNS estos dominios son libremente accesibles, permitiendo la recolección de credenciales a escala.
Conexiones a Dominios de Cryptojacking y Publicidad Maliciosa
DisponibilidadLos activos empresariales se conectan a dominios que alojan scripts de criptominería o publicidad maliciosa que entrega descargas drive-by, consumiendo recursos y potencialmente instalando malware porque ningún filtrado DNS bloquea estas amenazas conocidas.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Servicio de Filtrado DNS Desplegado
Los activos empresariales resuelven consultas DNS sin ningún filtrado, permitiendo conexiones a dominios maliciosos conocidos, infraestructura de phishing y servidores de comando y control de actores de amenazas sin ninguna prevención ni alerta.
Evasión del Filtrado DNS mediante IP Directa o DNS Externo
Incluso donde existe filtrado DNS, los endpoints pueden evadirlo usando direcciones IP codificadas o resolvedores DNS externos (DoH, DoT) que no están bloqueados en el perímetro de la red, anulando la protección.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Configuración de filtrado DNS y estadísticas de bloqueo | Mensual |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |